Publicatie
09-06-2022

Vier jaar AVG

Sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (AVG). Vóór 25 mei 2018 stond de bescherming van persoonsgegevens in de praktijk niet altijd hoog op de agenda. De toepasselijkheid van de AVG en de boetes die de Autoriteit Persoonsgegevens (AP) sinds 25 mei 2018 kan opleggen (maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet) heeft er echter voor gezorgd dat meer organisaties het belang zijn gaan inzien van de bescherming van persoonsgegevens.

In 2018 resulteerde dat in veel vragen uit de praktijk over bijvoorbeeld verwerkersovereenkomsten, privacy statements en het verzenden van digitale nieuwsbrieven. Inmiddels zijn wij een aantal jaren verder. De AVG blijkt op bepaalde punten complex en een gebrek aan handhaving door toezichthouders beperkt het afschrikwekkend effect van de AVG.

Niet geheel vreemd is daarom dat wij in M&A-trajecten -afhankelijk van de branche- vaak zien dat de targets in meer of in mindere mate niet voldoen aan wet- en regelgeving op het gebied van de bescherming van persoonsgegevens. Zo ontbreekt vaak een actief beleid, ontbreken verwerkersovereenkomsten en worden datalekken niet altijd opgenomen in een datalekregister.

Recent publiceerde de AP haar jaarverslag over 2021. In het jaarverslag schrijft de AP onder meer dat zij door tekorten in capaciteit en middelen scherpe keuzes heeft moeten maken. De AP heeft in 2021 gekozen voor de activiteiten waarbij de impact voor burgers het grootst is. Er waren bijvoorbeeld boetes voor diverse ministeries, de Belastingdienst, Booking, Transavia en TikTok. De achterstanden nemen bij de AP echter nog steeds toe. Zo hebben veel burgers een klacht ingediend bij de AP over organisaties die de AVG niet naleven. De AP moet deze klachten behandelen, maar is onvoldoende in staat om organisaties waarover wordt geklaagd aan te spreken op hun gedrag of om over te gaan tot handhaving.

Voor de toekomst geldt dat de AP de komende jaren een structurele (maar beperkte) budgetverhoging krijgt en dat privacyactivisten zich zullen blijven inspannen voor het recht op gegevensbescherming. Daarnaast is het van belang dat ondanks de gebrekkige handhaving van de AP organisaties het naleven van de AVG niet slechts als een inspanningsverplichting zien. Het privacyrecht zal voorlopig ‘in the picture’ blijven staan.’